Se reportarón varias vulnerabilidades en Looking Glass, que pueden explotarse para realizar ataques de Cross-Site Scripting y comprometer un sistema vulnerable.
Looking Glass | <= | 1.0 |
Se reportarón varias vulnerabilidades en Looking Glass, que pueden explotarse por personas maliciosas para realizar ataques de Cross-Site Scripting y comprometer un sistema vulnerable.
La entrada que se pasa al arreglo "version" dentro de footer.php y header.php no es verificada apropiadamente antes de regresarse al usuario. Esto puede explotarse para ejecutar código HTML y script arbitrarios dentro de la sesión de un usuario en el contexto de un sitio afectado.
La entrada que se pasa al parámetro "target" dentro de lg.php no es verificado apropiadamente antes de utilizarse en la llamada "call()". Esto puede explotarse para inyectar comandos de shell arbitrarios via, por ejemplo, el caracter "|".
NOTA: Los espacios en blanco son filtrados haciendo difícil la explotación.
Las vulnerabilidades se confirmarón en la última versión disponible. Otras versiones también podrián ser afectadas.
Cross-site Scripting
Acceso al sistema.
Editar el código fuente para asegurarse que la entrada es verificada apropiadamente.
Mayor información.
http://de-neef.net/La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT